對抗反分析和逃逸技術的三種策略
如果我們的網絡被入侵了會怎么樣?這是一段時間以來安全人員一直在問的一個問題。但出于各種各樣的原因,從網絡轉型到更復雜的攻擊方式等,該問題現在變成了:我們怎么知道我們的網絡是否已經被入侵了?
問題轉變的原因之一在于,隨著網絡罪犯越來越精于檢測逃逸新策略的研究,他們幾乎不會在達成自己的目標之前,給我們留下任何可供發現不妥的證據。
反分析攻擊策略的興起
安全人員大多會熟悉幾種用于確保攻擊成功的高級安全攻擊策略。比如采用機器學習結合變形或多態漏洞利用,摸透并適應網絡防御,或者利用已經部署在網絡上的工具。幸運的是,很多安全人員都有應對之策,可以檢測并有效響應此類攻擊。
因此,網絡罪犯也在應用新技術以掩蓋他們的攻擊,繞過檢測和分析,以便能夠完成自己的攻擊計劃。常見的反分析技術包括,能使惡意軟件檢測自身是否處于沙箱環境或系統模擬器的例程,禁用受感染系統上安全工具的功能,使用垃圾數據困住反匯編等。MITRE 目前列出了超過 60 種反分析和逃逸技術,有新有舊,攻擊者可以用來繞過防御,逃逸檢測,在目標系統上不受打擾地達成自己的目標。
這看起來是一股快速發展的風潮。上個季度,多份報告稱發現了內置防御逃逸技術的新惡意軟件,表明該最新攻擊策略正處于快速上升期。其中一例惡意軟件是針對金融機構的下載器,不僅包含沙箱檢測技術,還內置有一個很聰明的工具,可以確定自身是否在模擬器內運行。該下載器還會檢查鼠標移動和調試器,以確保只在真實生產環境中運行。而且,這并非個案。2019 年第二季度至少還曝出另外兩個下載器也運用了類似的高級逃逸機制,包括位置驗證功能和用于延遲執行的睡眠計時器。
另一股正在興起的趨勢是運用 “因地制宜” 技術,劫持標準網絡工具來執行惡意活動. 比如說,PowerShell 可以直接從內存執行,很容易混淆,而且已經獲得系統信任,也就可以繞過白名單防御機制。利用 PowerShell 的免費惡意工具也很多,比如 PowerSploit、PowerShell Empire 和 Nishang 等。由于 PowerShell 這樣的工具已獲授權,且很多此類工具可能無意中具備某種程度上的管理員權限,所以利用這些工具的惡意行為也就往往被歸類成已授權行為了。
這些工具和類似的反分析及其他逃逸戰術,對企業造成了極大挑戰,凸顯出多層次防御機制的重要性,企業防御必須超越傳統特征碼和基于行為的威脅檢測。
找出想深藏不露的惡意軟件
誠然,采用特征碼和基于行為的安全工具檢測威脅,依然是安全武器庫中的重要部分。但這些方法還需要來自高級行為分析等先進技術的加持,才可以識別和關聯那些單獨看可能不會觸發威脅警報的可疑行為。
而且,如果對上專門用于逃逸檢測的惡意軟件,這些策略的有效性也會直線下降。更糟的是,由于數字轉型不僅擴寬了網絡邊界,還令網絡面臨“最弱一環”的困境;快速擴張的網絡攻擊界面更加加劇了反分析和逃逸技術帶來的挑戰。新的云、WAN、移動性和 IoT 策略都引入了各自獨特的安全風險,且往往都附帶各不相同的安全水平,問題由此引發。
不過,有矛就有盾,惡意軟件想藏,自然就有強大的工具來幫安全人員檢測。包括:
1. 基于意圖的網絡分隔
建立在 “信任” 模型基礎上的扁平網絡,讓已進入該網絡的網絡罪犯成為了受信環境的一部分,可以行跡不顯地運行,然后迅速在整個網絡上擴散威脅。而隨著進一步深入網絡,此類惡意活動也變得極難檢測與限制,造成級聯風險、有價值數據丟失,以及經濟和品牌損害。
網絡分隔能確保即使發生入侵,其影響也局限在預先確定的資源集上。然而,靜態分隔,比如使用微分隔、宏分隔和應用分隔等各種分隔技術組合,保護數據和數字資產,并不總能輕易適應網絡的快速變化。為適應需要橫穿網絡分隔的工作流、應用和交易,越來越多的例外被創建出來,網絡分隔的有效性也隨之逐步下降。
而采用基于意圖的分隔,企業就能智慧分隔網絡和基礎設施資產,不用在意其位置,不管是在現場還是在多個云上。隨后就能通過持續監視信任級別和自動適應安全策略,建立起動態細粒度訪問控制。還可以更有效地運用高性能先進安全技術隔離關鍵 IT 資產,應用細粒度監視快速檢測和阻止使用分析和自動化的威脅。
2. 誘騙技術
誘騙技術通過在模擬正常資產的基礎設施上創建誘餌網絡資源起效。這些誘餌可部署在虛擬環境或實體環境中,包含旨在誘騙網絡罪犯以為自己發現了盜取憑證或提權之路的流量活動。
誘騙技術之所以在檢測逃逸性惡意軟件上如此有效,是因為源自合法設備的流量要么不會流入這些欺騙性誘餌,要么即便流入,其表現也是可預測的。也就是說,一旦陷阱被觸發,隱秘設備就會暴露,可以立即展開應對措施。記錄受影響誘餌更新的中央誘騙服務器會收到廣播通知,該惡意軟件所用相關攻擊方法會被錄制下來,基于意圖的分隔自動介入,隔離被入侵的設備——即使該設備上的惡意軟件本身不會被實際檢測。
3. 集成安全
沙箱解決方案中增添 AI 可應對高級逃逸策略,比如能夠檢測拒絕在沙箱或模擬器中運行的惡意軟件。不過,一旦發現反分析惡意軟件,安全工具必須能夠協同工作,共享威脅情報,以便可警戒其他具有類似行為的事件。
舉個例子。網絡分隔間檢查點上應用的安全措施,就得能夠鎖定檢測并實時更新。其他工具需相互配合,追溯惡意軟件源頭,沿可能同樣被黑的數據路徑追查威脅的行事手法。所以,各工具應深度集成至橫跨整個分布式網絡的單一內聚安全架構中,囊括核心實體網絡、公共及私有多云環境、WAN 位置和移動及 IoT 設備。
企業網絡能智取隱秘攻擊
檢測逃逸性惡意軟件的訣竅是要限制其活動范圍,讓它暴露自身,然后在整個網絡上共享這些信息,提升檢測和響應力度。基于意圖的分隔、誘騙技術和集成安全架構在對抗檢測與分析逃逸技術上具有舉足輕重的作用,是揭露隱秘惡意軟件的基本工具。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
